
cket No.: GR 98 P 2862 



Ifreby certify that this correspondence is being deposited with the United States 

jrvice as First Class Mail in an envelope addressed to the Assistant 
imissilbner for P^ttents, Washington, D.C. }iip231, on the date indicated below. 




Date 



IN THE UNITED STATES PATENT AND TRADEMARK OFFICE 




Inventor 
Applic. No. 
Filed 
Title 



Thomas Ruban et al. 

09/343,859 

June 30, 1 999 

Method And Apparatus For Routing In A Communication 
Or Data Network, Or In A Network Of Communication And 
Data Networks 



CLAIM FOR PRIORITY 

Hon. Commissioner of Patents and Trademarks, 
Washington, D.C. 20231 

Sir: 

Claim is hereby made for a right of priority under Title 35, U.S. Code, Section 
119, based upon the German Patent Application 1 98 45 331 .0, filed October 1 , 
1998. 



A certified copy of the above-mentioned foreign patent application is being 
submitted herewith. 




LAURENCE A. GREENBERG 
REG. NO. 29,308 



Date: July 28, 1999 

LERNER AND GREENBERG, P A. 

POST OFFICE BOX 2480 

HOLLYWOOD, FL 33022-2480 

TEL: (954)925-1100 

FAX: (954)925-1101 

/bmb 



BUNDESREPUBLIK DEUTSCHLAND 





CERTIFIED COPY OF 
PRIORITY DOCUMENT 



Bescheinigung 



Die Siemens Aktiengesellschaft in Munchen/Deutschland hat eine Patentanmeldung 
unter der Bezeichnung 

"Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem 
Kommunikations- oder Datennetz oder einem Netz aus Kommunikations- 



und Datennetzen" 

am 1. Oktober 1998 beim Deutschen Patent- und Markenamt eingereicht. 

Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ursprCing- 
lichen Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
H 04. L 12/56 der Internationalen Patentklassifikation erhalten. 




Munchen. den 28. Juni 1999 



Deutsches Patent- und Markenamt 



Der Prasident 



Im Auftrag 





Aktenzeichen: 198 45 331.0 



HoiB 



A 9161 

06 90 
11/98 



GR 98 P 2862 



10 



Beschreibung 

Verfahren und Vorrichtung zur Verkehrswegebestimmung in einem 
Kommunikations- oder Datennetz oder einem Netz aus Koininunika- 
tions- und Datennetzen 

Die Erfindung betrifft ein Verfahren zur Verkehrswegebestim- 
mung, auch ^Routing' genannt, in paketorientierten Kommunika- 
tions- und Datennetzen. 



Ein Anbieter eines Inf ormationsdienstes stellt Benutzern in 
einem paketorientierten Netz Inf ormationen zur Verfiigung. 
Diese konnen in Form von zum Beispiel Datenbankinhalten oder 
Webseiten bearbeitet und durchsucht werden. 
15 Urn einem Inf ormationsdienst verwenden zu konnen, muB ein Be- 
nutzer in der Kegel einen Vermittlungsdienst verwenden. Die- 
ser vermittelt Datenpakete in dem Paketnetz und stellt somit 
den Zugang zu dem Inf ormationsdienst her. 

20 Bisher kann ein Benutzer zwischen verschiedenen Vermitt lungs- 
diensten wahlen. Er kann zu einem Zeitpunkt nur ein Vermitt- 
lungsdienst in Anspruch nehmen, alle Datenpakete werden zu 
diesem Vermittlungsdienst geschickt, der diese dann weiter 
verteilt. Bei einer Anderung der Verbindung an ein paketori- 

^5 entiertes Datennetz, z. B. zu einem Inf ormationsprovider (wie 
* Compuserve oder AOL) oder zu einem Firmennetz, muli eine neue 
Datenverbindung aufgebaut werden. 

Befindet sich ein Benutzer nicht in dem Netz, zu dem er Zu- 
30 gang erhalten will, so muli er zuerst eine Verbindung zu einem 
Vermittlungsdienst aufbauen. Dies geschieht zum Beispiel von 
seinem PC Zuhause mittels eines Modems uber das leitungsver- 
mittelte Telefonnetz und mit einem speziellen Protokoll, wie 
SLIP Oder PPP. Will der Benutzer den Vermittlungsdienst wech- 
35 seln, so mufi er die aufgebaute Verbindung beenden und eine 
neue Verbindung zu einem nachsten Vermittlungsdienst auf- 
bauen. 
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Alle wahrend der ersten Verbindung eingestellten Parameter 
gehen somit verloren. 

Ein Spezialfall des Zugangsdienstes wird Virtual PoP (Point 
of Presence) genannt- Dabei wird es von einem Vermittlungs- 
dienst anderen Vermittlungsdiensten gestattet, den gleichen 
Zugrif f spunkt zu verwenden. Die Benutzer dieses zweiten Ver- 
mittlungsdienstes bemerken dabei nicht, daii sie in einem 
^fremden' Zugangspunkt befinden. 

Aufgabe der Erfindung ist es, eine Moglichkeit anzugeben, wie 
ein Benutzer mit einer bestehenden Verbindung zu einem paket- 
orientierten Datennetz zwischen verschiedenen Anbietern von 
Vermittlungs- und Inf ormationsdiensten wahlen kann, ohne 
diese Verbindung jeweils daran anpassen zu miissen. 

Diese Aufgabe wird gelost durch ein Verfahren gemaB Anspruch 
1. 

Bei dem erf indungsgemaBen Verfahren der Verkehrswegebestim- 
mung (im Folgenden auch Routing genannt) werden alle Datenpa- 
kete im Netz durch einen ausgewahlten Netzknoten analysiert 
und der Pfad der Pakete zur Zieladresse entsprechend der Vor- 
gaben manipuliert. Dabei werden zum ersten Inf ormationen ver- 
wendet, die im Datenpaket enthalten sind (durch den Benutzer, 
welcher auch ein Programm sein kann) . Weiterhin werden zweite 
Inf ormationen zum Routing verwendet, welche dem Netzknoten 
zur Verftigung stehen, entweder in einer eigenen Datenbank 
Oder auch in mehreren Tabellen, die auch verteilt im Netz 
existieren konnen, fiir ihn abrufbar. 

Es wird ein fur die Anf orderungen geeigneter Transf erknoten 
(z, B. Vermittlungsdienst) ermittelt. 

So kann der Benutzer verschiedene Vermittlungs- und Informa- 
tionsdienste anwahlen, ohne dafi die fUr ihn sichtbare Verbin- 
dung zu irgendeinem Zeitpunkt gelost werden muB . Es wird si- 
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chergestellt, dali ein geeigneter Weg gewahlt wird, etwa wenn 
durch den Benutzer eine erhohte Sicherheit angefordert wird, 
Oder wenn das Ziel in einem Firmennetz (Corporate Network) 
durch einen Weg ausschliefilich durch dieses Firmennetz er- 
reicht werden soil. 

Die Entscheidung iiber den weiteren Weg des Datenpakets kann 
zum Beispiel nach folgendem Verfahren getroffen werden: 

1. aus dem Datenpaket wird die Quelladresse (oder auch die 
Absendeadresse des Benutzers, 1. Information) ermittelt, 

2. die Quelladresse wird einem Benutzer zugeordnet, 

3. die dem Benutzer zuganglichen Anbieter von Vermittlungs- 
diensten oder Inf ormationsdiensten (2. Information) werden 
ermittelt 

4. unter den von dem Benutzer zuganglichen Vermittlungs- 
diensten werden diejenigen ausgewahlt, die einen Transport 
des Datenpaketes zu der gewunschten Zieladresse anbieten, 

5. weitere Randparameter werden bestimmt (z, B, Kostenlimits, 
Minimalqualitat) , aus zusatzlichen Angaben im Datenpaket 
Oder aus zusatzlichen, dem Benutzer zugeordneten Informa- 
tionen, die die Auswahl des Vermittlungs- oder Informati- 
onsdienstes weiter eingrenzen konnen 

e.unter den ausgewahlten Vermittlungsdienst wird derjenige 
ausgesucht, dessen Randparameter mit denen des Benutzers 
am besten ubereinstimmen, 

7. dem endgultig ausgewahlten Vermittlungsdienst werden damit 
aus dem Benutzerprof il in der Datenbasis erreichbare Ziel- 
adressen zugeordnet, z. B. durch das Setzen von Regeln, 

Die Weiterleitung des Paketes kann dann entweder nach dem 
bisher bereits bekannten Prinzip zum Beispiel mit Hilfe von 
DNS im Internet geschehen, 

Weitere Moglichkeiten werden im Folgenden erlautert. 
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Die Aufgabe wird gelost durch eine Vorrichtung gemali Anspruch 
16, 

Die Vorrichtung enthalt 

• Mittel (routing engine) zum Empfangen, Verarbeiten und Wei- 
terleiten von Datenpaketen (IP) 

• Mittel zum Speichern von Inf ormationen zu Benutzern und 
Diensten (current user and service information) und 

• Mittel zum Verarbeiten der aus dem Datenpaket ermittelten 
erst en Inf ormationen 

und zusatzlicher zur Verfugung stehender zweiter Informa- 
tionen uber die unterliegenden Routingmoglichkeiten (HW und 
SW) aus der Routing Engine, 

und dritten gespeicherten Inf ormationen uber Benutzer und 
Dienste, 

(routing information module) , 

welche als Schnittstelle zur Routing Engine Inf ormationen 
austauscht und Konvertierungen der ubergebenen Informatio- 
nen durchfuhrt, soweit notwendig, 

wobei diese Inf ormationen Angaben uber Vergebuhrungen z. B. 
nach Verbindungsende oder Beendigung eines Dienstes, sowie 
Wegewahlinformationen wie Regeln, Zieladresse, nachster 
Netzknoten und Art der gewahlten Verbindung (z. B. PVC, 
Tunnelling...) enthalten konnen, und 

• Mittel zur Ermittlung der Abbildung logischer Rechnernamen 
auf Netzadressen (DNS Proxy Server) , 

• Mittel zur Verwaltung des Systems (service management 
module) 

• weitere externe Mittel zum Speichern von Inf ormationen zu 
Benutzern (system management server) , welche mit den inter- 
nen Speichermitteln uber Kommunikationsprotokolle, die zur 
Obertragung von Administrationsdaten geeignet sind (wie 
etwa RADIUS), Daten austauschen konnen. 

Vorteilhafte Ausgestaltungen und Weiterbildungen sind in den 
Unteranspruchen angegeben . 
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Die Datenpakete werden von deiti Netzelement zu einem Oberga- 
bepunkt, welcher festgelegt ist, gesendet. Dies geschieht 
ublicherweise auf beliebigen Wegen, etwa mit einem sogenann- 
5 ten Tunnel fiir Datenpakete iiber das Netz (wie mit Hilfe des 
Protokolls GRE, Generic Routing Encapsulation, PPTP, Point- 
to-Point-tunnelling Protocol oder L2TP, Layer 2 Tunnelling 
Protocol) . 

10 In einer Ausgestaltungsf orm wird von dem Netzknoten der Weg 
zu dem festgelegten Knoten ebenfalls festgelegt. Dies ist 
vorteilhaft, da so erst bestimmte Steuerungskriterien wirksam 
werden konnen, etwa Sicherheitskriterien, urn zu verhindern, 
daI3 Datenpakete durch ^fremde' Netze geleitet werden. 

15 Ein solcher Datenpfad kann beispielsweise eine direkte Ver- 
bindung sein (PVC, SVC) . Der Weg des Datenpakets kann auch 
durch eine explizite Pfadangabe in jedem Paket realisiert 
sein (logische Kanale bei ATM) . Bei TCP/IP gibt es dafiir das 
sogenannte ^Source Routing', oder auch RSVP (Resource ReSer- 

20 Vation Protocol, RFC 2205) . 



Die im Datenpaket enthaltenen und von dem Netzknoten analy- 
sierten Zusatz-Inf ormationen konnen verschiedener Art sein. 
^ Neben konkreten Angaben tiber gewiinschte Transfer- und 

25 Zielknoten konnen auch konkrete Pfadangaben dazu gehoren. 
Weiterhin sind Inf ormationen sinnvoll uber Quelle und Ziel 
des Datenpakets und vom Benutzer gewiinschte Merkmale der Da- 
tenubertragung, wie Kosten, Qualitat, Sicherheit, Geschwin- 
digkeit. Diese Inf ormationen konnen aus dem Inhalt (Kopf) des 

30 Datenpaketes explizit oder auch implizit ermittelbar sein. 
Diese Angaben konnen zur weiteren Verarbeitung einzeln oder 
auch in Kombination verwendet werden. 



35 



Es gibt verschiedene Griinde, weshalb ein Datenpaket von dem 
Netzknoten nicht weitergeleitet werden kann. 
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Zum einen sind die Pakete moglicherweise falsch adressiert. 
Die angegebene Adresse konnte z. B. vom DNS Proxy nicht kor- 
rekt aufgelost werden, so daB keine Zieladresse und somit 
kein nachster Netzknoten, zu deiti das Datenpaket weiter ge- 
5 reicht werden soil, ermittelt werden kann. 

Zum anderen ist die Zieladresse korrekt, aber es konnte von 
dem zentralen Netzknoten kein Vermittlungsdienst ermittelt 
werden, der das Datenpaket an die gewiinschte Zieladresse 

10 ubermitteln kann. Eine weitere Fehlermoglichkeit besteht in 
der Tatsache, daft Benutzer sich zuerst bei einem Vermitt- 
lungs- Oder Inf ormationsdienst anmelden mussen. Wenn der Be 
nutzer einen Dienst anwahlt, zu welchem er keine Benutzungs 
berechtigung eingetragen hat, konnen Datenpakete ebenfalls 

15 nicht weitergeleitet werden. 

Datenpakete, die nicht weitergeleitet werden konnen, werden 
in einem paketorientierten Datennetz in der Kegel geloscht 
( ^verworf en' ) . 

20 In einer Ausgestaltungsf orm der Erfindung werden alle diese 

nicht auslief erbaren Datenpakete an einen geeigneten Netzkno- 
ten ( ^default' ) weitergeleitet, oder einen lokalen Prozefi 
ubergeben, der dann eine Reaktion erzeugt. Diese kann zum 
Beispiel in einer Fehlermeldung bestehen, welche an den Ab- 

25 sender zurtick geschickt wird, und eine Angabe dariiber ent- 
halt, warum die Auslieferung der Datenpakete nicht erfolg- 
reich war (negative Bestatigung) . 

Eine weitere einfache Losung ware das Generieren von ICMP 
(Internet Control Message Protocol) Antworten ( ^host unreach- 
30 able' ) . 

Weiterhin kann diese Reaktion eine Hilf estellung enthalten, 
wie der aufgetretene Fehler bei der Datenubertragung vermie- 
den werden konnte (etwa: Anmeldung bei einem Vermittlungs- 
dienst notwendig, Fehler in der Adresse, . * • ) . Diese Hinweise 
35 konnen unter Umstanden so ausfuhrlich sein, dafi mindestens 
eine konkrete Aktion angeboten und die Moglichkeit geboten 
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wird, daJi der Benutzer sich fur eine dieser Aktionen ent- 
scheiden, diese ablehnen oder auch eine Alternativreaktion 
eingeben kann. 

Weiterhin kann bei einer unklaren Anforderung (mehrere mogli- 
5 Che Vermittlungsdienste sind 'gleich gut' ) durch weitere Ab- 
fragen durch den Netzknoten eine Auswahl des Vermittlungs- 
oder Informationsdienstes erreicht werden. 

Die Datenpakete, welche als Antwortpakete von der Ziel- zu- 
10 riick an die Quelladresse gesendet werden, sollen den selben 
festgelegten Knoten (also den selben Vermittlungsdienst ) 
durchlaufen, wie die Originalpakete • 
Auf dem Hin- und Ruckweg ist es daher auch notwendig, dafi von 
dem Netzknoten die Eintrage der Quell- und Zieladressen mani- 
15 puliert werden. Um eintreffende Datenpakete als Antwortpakete 
eindeutig zuordnen zu konnen, werden dabei Auf zeichnungen 
liber die (virtuellen) Verbindungen gespeichert, um die mogli- 
cherweise manipulierten Adressen wieder andern zu konnen. 
Dies entspricht den fur IP-Datenpakete bekannten Methoden von 
20 Network Address Translation (RFC 1631) . Darunter versteht man 
etwa Masquerading, DNAT (Distributed Network Address 
Translation), NAR (Negotiated Address Reuse) oder RAT (siehe 
dazu auch Internet Drafts, z. B. unter http : //www . ietf • org/ ) . 

25 So kann der Benutzer (also Absender der Original- und Empfan- 
ger der Antwortpakete) sicher gehen, daii auch diese Datenpa- 
kete den von ihm gewunschten Kriterien entsprechen. Dieses 
gilt bei den Obertragungskosten und der Obertragungsqualitat 
ebenso wie zur Garantierung einer Obertragungssicherheit . 

30 

Falls der Pfad ftir den Ruckweg mit der Quelladresse des ur- 
spriinglichen Datenpakets nicht im Netz bekannt ist, jedoch 
der Vermittlungsdienst selber von 'beiden Seiten' (Absender 
und Empfanger, Benutzer und Inf ormationsdienst ) erreicht wer- 
35 den kann, lafit sich dieser dazu veranlassen, den Weg uber 
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Standardprotokolle vom zentralen Netzknoten gezielt zu ler- 
nen. 

Hiermit ist jeder Teil des Ubertragungsweges fur das Datenpa- 
ket definiert, voia Benutzer zum Vermittlungsdienst , vom Ver- 
mittlungsdienst zum Inf ormationsdienst and wieder zuriick. 
Falls der Weg zum Vermittlungsdienst vom zentralen Netzknoten 
fur die Nachrichten dediziert werden soil, ist entweder NAT 
auf verschiedene Quelladresse moglich, damit der Vermitt- 
lungsdienst den zentralen Netzknoten auch auf unterschiedli- 
chen Wegen erreichen kann. 

Weiterhin kann der zentrale Netzknoten auch direkt mit dem 
zugrundeliegenden Netz kommunizieren und so Wegeinf ormationen 
austauschen . 

In einer weiteren Ausf uhrungsf orm der Erfindung wird es dem 
Benutzer erlaubt, zwischen verschiedenen Dienstanbieter wah- 
rend einer Verbindung zu einem zweiten Datennetz mit den ver- 
schiedenen erreichbaren Datenquellen zu wechseln. Dabei wird 
der Weg ftir jedes Datenpaket einzeln bestimmt. Der Benutzer 
kann zwischen einzelnen Vermittlungsdiensten auswahlen, aber 
es ist jeweils nur ein Vermittlungsdienst fur bestimmte Netze 
Oder Informationsdienste aktiv. Dies ist zum Beispiel wichtig 
ftir die Vergebuhrung . Die Vermittlungsdienste ftir Corporate 
Networks / Content Provider (allgemein Netze) lassen sich 
parallel nutzen. 

Fur eine Erhohung der Sicherheit ist es auch moglich, die Da- 
tenpakete vor dem Versenden mit den tiblichen Verschlusse- 
lungsmechanismen durch den Benutzer oder vom Netzelement (SG) 
zu kodieren. Dies ist vor allem vorteilhaft, wenn sicher- 
heitssensible Datenpakete versendet werden sollen und die zur 
Verftigung stehenden Datenpfade uber Fremdnetze fuhren. 

Ein Benutzer kann sich im Netz bei verschiedenen Diensten 
(Vermittlungs- oder Inf ormationsdiensten) anmelden und hat 
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dort dann eine Benutzungsberechtigung . Weiterhin konnen ab- 
hangig von der Art des Dienstes zusatzliche Transporteigen- 
schaften fur Nachrichten mit Attributen fur die einzelnen Be- 
nutzer (Quelladresse) angegeben sein. 

Dabei konnen etwa verschiedene Verf ugbarkeiten fur einen 
Dienst definiert werden, in der folgenden Weise: 

• ^versteckt' : 

der Benutzer hat nicht die Moglichkeit, einen Dienst in An- 
spruch zu nehmen 

• ^abonnierbar' : 

der Benutzer kann diesen Dienst benutzen, muli sich aber zu- 
vor registrieren 

• ^abonniert' : 

der Benutzer hat sich bei einem Dienst bereits registriert 
und kann ihn fortan aktivieren 

• ^aktiviert' : 

der Benutzer hat derzeit einen Zugang zu dem Dienst geoff- 
net 

Jeder Nutzer hat einen bestimmten Grundzustand in Bezug auf 
die Vermitt lungs- und Inf ormationsdienste , Dieser Grundzu- 
stand kann auch als Benutzerprof il bezeichnet werden. Das 
Profil kann vom Benutzer wahrend einer Sitzung verandert wer- 
den . 

Dieses Benutzerprof il kann in dem zentralen Netzelement ge- 
speichert sein, es ist aber auch moglich, diese Nutzerprof ile 
aus einer (oder mehrerer verteilter) externen Datenbank bei 
Bedarf zu holen. 

Aufgrund dieses Benutzerprof ils kann das zentrale Netzelement 
schnell ermitteln, welcher Benutzer fur welchen Vermittlungs- 
dienst eine Berechtigung besitzt. In dem Fall, daB der Be- 
nutzer einen Vermittlungsdienst nicht benutzen darf, kann das 
zentrale Netzelement ein entsprechendes Datenpaket sofort an 
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einen geeigneten Netzknoten zur Fehlerbehandlung weiterrei- 
chen, 

Der Zugriff iiber das Benutzerprof il kann mit einem Passwort 
5 (Login) geschiitzt sein, 

Es kann der Fall behandelt werden, dafi ein Benutzer einen 
Vermittlungsdienst nicht benutzen kann, well er sich noch 
nicht dort registriert hat. 

10 

In beiden Fallen ist es sinnvoll, dem Absender der Datenpa- 
kete eine geeignete Benachrichtigung zukommen zu lassen. 
Diese sollte einen Hinweis darauf enthalten, weshalb eine 
korrekte Obertragung des Datenpaketes f ehlgeschlagen ist. 
15 Zur Durchfiihrung der Anfertigung dieser Fehlermeldungen kon- 
nen die entsprechenden Datenpakete (mindestens eines) auch an 
ein geeignetes Netzeleiuent weitergeleitet werden, welches die 
weitere Bearbeitung ubernimmt . 

20 Die Fehlerbehandlung kann sehr benut zerf reundlich ausgebildet 
sein, etwa mit graphischen Oberflachen und mit einer Be- 
nutzersteuerung, die Ruckmeldungen gibt auch iiber die mogli- 
che Beseitigung der f estgestellten Fehler. Durch ein soge- 
nanntes Helpdesk kann dem Benutzer auch nach dem Absenden von 

25 Datenpaketen eine Hilf emoglichkeit geboten werden, die ihm 
die fur ihn moglichen Optionen und Aktionen anzeigt. 

Da die Datenpakete alle durch die ^routing engine' , die von 
diesem einen speziellen Netzknoten gesteuert wird, laufen, 
30 ist eine Datensammlung zum Zwecke der Gebuhrener f assung 
leicht durchzuf uhren . 

Vergebiihrt werden konnen dabei zum einen die Benutzer fiir die 
Verwendung der angebotenen Ressourcen. Andererseits konnen 
auch die von den Dienstanbietern gesammelten Inf ormationen 
35 zur Vergebiihrung herangezogen werden. 
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Dabei beziehen sich die daftir iiblicherweise verwendeten Werte 
auf das Voluinen der Daten oder die Dauer der fur die Obertra- 
gung bestehenden Verbindung (inklusive der Belegung von Netz- 
ressourcen) • Weiterhin kann eine Vergebuhrung auch erfolgen 
5 aufgrund von Angaben uber die verwendeten Dienste oder die 
Anzahl der erfolgreich vermittelten Datenpakete oder anderen 
Angaben, 

Um die Datenpakete von dem speziellen Netzknoten (Routing En- 
10 gine) zu dem festgelegten Knoten (Ubergabepunkt bzw, Vermitt- 
^ lungdienst) zu leiten, muR ein Weg festgelegt werden. Dieses 
kann in verschiedener Art geschehen: 

• mit Hilfe von Methoden von NAT, 

• ^Encapsulation', also Einkapselung der Datenpakete, z. B, 
15 mit GRE (Generic Routing Encapsulation, RFC 1701), 

auch angewendet bei ^Tunnelling' , wie mit den Protokollen 
PPTP (Point to Point tunneling Protocol, Microsoft) oder 
L2TP (Layer 2 Tunneling Protocol, eine Erweiterung des PPP 
Protokolls) , 
20 • mit PVC Oder SVC. 

Zusatzlich zu den intern gespeicherten Inf ormationen uber. Au- 
thentif izierung, Zugriff, Benutzerprof il oder Vergebuhrung in 
einer Datenbank (z. B. UMS, User Management System) kann es 
25 auch externe Datenbanken geben, die so geartete Inf ormationen 
netzweit zur Verfugung stellen. 

Da es sich um sicherheitssensible Daten handeln kann, sind an 
das Zugriff sprotokoll von dem zentralen Netzknoten auf diese 
externe Datenbasis erhohte Anf orderungen bezuglich der Daten- 
30 sicherheit zu stellen. Ein dafur geeignetes Zugriff sprotokoll 
ist RADIUS (Remote Authentif ication Dial-In User Service, RFC 
2138) Oder LDAP (Lightweight Directory Access Protocol, RFC 
1777) . 

35 In einer weiteren Ausf uhrungsf orm kann der Benutzer selber 
die in der Datenbasis enthaltenen Inf ormationen, etwa sein 
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Benutzerprof il, itiodif izieren . Dafiir muli eine Schnittstelle 
bereitgestellt werden, uber die er mit der geeigneten Ober- 
flache auf die Daten zugreifen kann, 

Hierfur sind bereits viele Losungen bekannt. Eine Moglichkeit 
ist das bereits vielfach verwendete http-Protokoll (hypertext 
transfer protocol) mit den ublichen Webbrowsern (Netscape, 
Mosaic, Microsoft Explorer, .,.) als Benutzeroberf lache . 
Es sind auch geanderte Versionen dieses Protokolls oder an- 
dere geeignete Protokolle (z. B. IP V6, auch flir Voice over 
IP zu verwenden) denkbar, auch auf anderen Endgeraten des Be- 
nutzers, wie Mobiltelef one (mit oder ohne elektronischen Or- 
ganizer, wie etwa der NOKIA Communicator) oder Palmpilots, 
welche eine geringe Speicherkapazitat und eine kleine Bedien- 
oberflache haben, 

Uber diese Schnittstelle kann auch eine Hilf emaschine fur den 
Benutzer zugreifbar werden. Diese kann anhand von den zugang- 
lichen Inf ormationen und weiteren Abfragen von und zum Be- 
nutzer eine korrekte Weiterleitung der Datenpakete vereinfa- 
chen . 

Die Hilf emoglichkeit kann in verschiedenen Ausfiihrungen rea- 
lisiert werden , 

Der wesentliche Vorteil der Erfindung besteht darin, dal5 mit- 
tels des modularen Aufbaus eine Verwendung von vielen Stan- 
dardkomponenten (teilweise in modif izierter Form) moglich 
ist. Dies vereinfacht und beschleunigt die Realisierung . 

Im folgenden wird die Erfindung anhand von Ausf tihrungsbei- 
spielen erlautert. Dabei zeigen 

Figur 1 einen moglichen schematischen Aufbau der Vorrichtung 
zur Verkehrswegebestimmung eines Datenpakets, 

Figur 2 eine schematische Darstellung der moglichen Daten- 
pfade zwischen zwei seperaten Kommunikationsnetzen 
mit Vermittlungsdiensten und Inf ormationsdiensten. 
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Figur 3 eine scheitiatische Darstellung eines Koitmiunikations- 
netzes mit der Sitzung eines Benutzers 

Figur 4 eine ausf tihrlicherer Aufbau eines Beispielnet zes mit 
einzelnen Netzkomponenten, und 

Figur 5a und 5b ein Ablauf diagrainm, welches das Zusammenspiel 
der einzelnen Komponenten der Vorrichtung anhand ei- 
nes einfachen Szenarios beschreibt. 

Die Figur 1 zeigt den moglichen schematischen Aufbau einer 
Vorrichtung (SG) zur Verkehrswegebestimmung eines Datenpakets 
(IP) . Der Aufbau zeigt nicht die Minimal-Konf iguration, ver- 
schiedene Komponenten sind nur zur Erhohung der Benutzer- 
f reundlichkeit vorgesehen, sind jedoch nicht erforderlich fur 
die Funktionsweise der Vorrichtung an sich. 

Ganz links (S) befindet sich ein Benutzer oder eine Anwen- 
dung, die Datenpakete erzeugt oder bekommt und diese in das 
Netz weiterleiten mochte. Dafur ubergibt sie diese Datenpa- 
kete (IP) an eine 'Routing Engine' (RE), welche die Aufgabe 
hat, diese Datenpakete zu empfangen, zu verarbeiten und spa- 
ter in geeigneter Weise weiter zuleiten. Die 'Routing Engine' 
kann in der Vorrichtung in verschiedener Weise enthalten 
sein, etwa im Kernel eines Betriebssystems (wie LINUX) oder 
auch als seperater 'external' Router, 

Diese Routing Engine (RE) tauscht Daten aus, mit einem Mittel 
(Routing Information Module) zur Verarbeitung von ersten In- 
formationen, die es aus den empfangenen Datenpaketen ermit- 
telt, zweiten Inf ormationen uber Benutzer und Dienste, welche 
aus Datenbanken ausgewahlt werden konnen und dritte Informa- 
tionen, die Angaben enthalten uber Hard- und Software der be- 
nutzten zugrundeliegenden Netze und Router. 

Es werden zum Beispiel Regeln ausgetauscht , welche aus einem 
Benutzerprof il ermittelt wurden und den Zugriff zu bestimmten 
Vermitt lungs- oder Inf ormationsdiensten reglementieren . Es 
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konnen auch nahere Inf ormationen zum Gebrauch von Protokollen 
zur weiteren Versendung der Datenpakete sein, wie Methoden 
von NAT (RFC 1631) . 

Es kann sich weiterhin auch um Vergebuhrungsdaten handeln, 

5 

Die wichtigste Quelle fur die zweiten Inf ormationen ist das 
Speichermittel (current user and service information, UMS) . 
Hier befinden sich die (aktuellen) Benutzerprof ile, welche 
etwa die Regeln enthalten und was noch als Information uber 
10 Benutzer und Dienste benotigt wird, 

Diese Inf ormationsdatenbank kann noch erganzt werden durch 
eine oder mehrere externe Speicherquellen, (SMS, System Mana- 
gement System) , welche die benotigten Authentif izierungsin- 

15 formationen liefert (Berechtigungsprof il) . 

Eine Kommunikation kann hier mittels RADIUS (radius) erfol- 
gen. RADIUS ist ein Protokoll zur Ubertragung von Authentif i- 
zierungs-. Authorisations-, und Konf igurations- Information 
zwischen einem Vermittlungsdienst der seine Verbindungen au- 

20 thentif izieren mochte und einem (verteilten) Authentif izie- 
rungs Server. 

Die Daten, welche im (UMS) gespeichert sind, konnen in einer 
erweiterten Ausf uhrungsf orm auch von den Benutzern geandert 

25 werden. Dies geschieht uber eine Schnittstelle (IF), die 
z. B. von einem HTML ^template processor', realisiert als 
JAVA Script { ^Servlet' , ^Applet') generiert wird. In diesem 
Beispiel wird zur Kommunikation mit dem Benutzer http und 
HTML verwendet, inklusive einer graphischen Bedienober f lache 

30 wie Netscape. Dies erhoht die Benutzerf reundlichkeit, ist 
aber fiir die Erfindung nicht zwingend notwendig. Es konnen 
auch bei Verwendung eines Mobiltelef ons als Endgerat die ent- 
sprechenden Steuerbef ehle verwendet werden. 



35 Zur Adressauf losung (logischer Name zu Netzadresse) der Da- 
tenpakete in einem paketorientierten Netz mit TCP/IP wird DNS 
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benotigt. Dies kann in anderen Netzen ein entsprechender an- 
derer Dienst sein. Der hierfur vorgesehene DNS Proxy verteilt 
dabei eintreffende DNS Anfragen entsprechend der gespeicher- 
ten Regain uber Benutzer und Dienste an die eigentlich zu- 
5 standigen DNS Server im Netz. 

Ein weiteres, nicht zwingend notwendiges Modul bietet dein Be- 
nutzer eine Hilf emoglichkeit (Helpdesk) . Dabei ist es zweck- 
mafiig, die selbe Benutzeroberf lache zu verwenden wie zur An- 

10 derung der Inf ormationen . 

Die Hilf efunktion kann dabei in, dem Fachmann bekannter Weise 

' ausgebildet sein. 

Sobald das Datenpaket (IP) in der beschriebenen Weise analy- 
15 siert und bearbeitet wurde, kann es weitergeleitet werden zu 
Zieladresse. Das Ziel kann direkt ein Inf ormationsdienst (CP, 
Content Provider) oder in ein Firmennetz (Corp, Corporate 
Network) sein. 

Soil das Datenpaket in ein anderes Kornmunikationsnetz gesen- 
20 det werden, so ist ein Obergang uber einen Vermittlungsdienst 
(ISP, Internet Service Provider) notwendig. 

Figur 2 zeigt einen schematischen Aufbau zweier Datennetze 
(Na und Nb) sowie ein Netzelement (SG) , uber welches Datenpa- 
25 kete von Benutzern in das eine und/oder andere Datennetz 

ubertragen werden und die Datenpfade, welche die Datenpakete 
zu den einzelnen Diensten nehmen. 

Die Datenpakete werden vom Netzelement (SG) eiupfangen. Mit- 
30 tels des bereits beschriebenen Verfahrens und zusatzlichen 
Informationen aus einer Datenbank (DB) wird der weitere Weg 
in dem ersten Netz (Na) ermittelt. Die Datenpakete konnen 
etwa per Encapsulation zu einem der zur Verfiigung stehenden 
Vermittlungsdienste (A - F) weitergeleitet werden. 
35 Dabei wird unterschieden zwischen Diensten direkt am Oberga- 
bepunkt ( Inf ormationsdienste, C - E) und Dienste entfernt vom 
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Obergabepunkt (A, B, F, auch Internet Service Provider, ISP, 
genannt) , 

Die Vermittlungsdienste ermoglichen den Zugang zu Inforiuati- 
5 onsdiensten (G, H) in einem zweiten Kommunikationsnet z (Nb) . 
Dabei kann ein Inf ormationsdienst liber luehrere Vermittlungs- 
dienste erreichbar sein, (G, A, B, F) und ein Vermittlungs- 
dienst mehrere Inf ormationsdienste erreichen (A, G, H) , 
Es kann iitimer nur ein Vermittlungsdienst zu einem Informati- 
10 onsdienst zu einem Zeitpunkt aktiviert sein. 

Ein Inf ormationsdienst ist direkt erreichbar (C, D, E) . Zu 
einem Zeitpunkt kann mehr als ein Inf ormationsdienst akti- 
viert sein. 

15 

Figur 3 zeigt, ausgehend von Figur 2, den Ablauf einer mogli- 
chen ^Sitzung' eines Benutzers. 

Ein Benutzer (user) erreicht liber ein Netz (zum Beispiel eine 
20 Verbindung in einem Telefonnetz) den Netzknoten (SG) , Dieser 
prtift sein Benutzerprof il (2) anhand von Inf ormationen aus 
den libertragenen Datenpaketen (1) und in einer Datenbank . (DB) 
enthaltenen Inf ormationen . 

In seinem Benutzerprof il sind keine sofort zu aktivierenden 
25 Dienste enthalten, allerdings einige sowieso fur alle frei 
verf tigbaren Inf ormationsanbieter . 

Der Benutzer tauscht mit einem dieser frei verfugbaren Dien- 
ste (CP, Content Provider) , etwa seiner Bank, Datenpakete aus 
30 (3) . Dies konnen in unserem Beispiel Inf ormationen uber sei- 
nen Kontostand, oder Oberweisungsauf trage oder ahnliches 
sein, 

Sofern bei dem frei verfugbaren Dienst keine Benutzerkennung 
erforderlich ist, so kann der Benutzer sich einwahlen 
3 5 (anonymous login) . 
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Im Rahiuen dieses Datenverkehrs bekoinint der Benutzer einige 
interessante Inf ormationen uber (zuiti Beispiel) Web-Seiten im 
Internet. Da aber bisher kein Vermittlungsdienst aktiviert 
ist, ist dieser Inf ormationsdienst fur ihn bislang nicht er- 
reichbar (4 ) . 

Das Netzelement (SG) wird dem Kunden dann die Moglichkeit ge- 
geben, aus einer Liste von Vermittlungsdiensten einen auszu- 
wahlen (5) . 

Der Benutzer entscheidet sich fiir einen langsamen und billi- 
gen Vermittlungsdienst (ISPA) und danach ist der Datenaus- 
tausch mit dem Inf ormationsdienst (S) in dem zweiten Kom- 
munikationsnetz (Nb) moglich (6). 

Nach einiger Zeit entdeckt der Benutzer bei dem Inf ormations- 
dienst (S) ein grolieres Dokument, welches er gerne ubertragen 
mochte. Zu diesem Zweck wechselt er zu einem Vermittlungs- 
dienst (ISPB) , der schneller aber daftir teurer ist (7). 
Bei dem Wechsel werden folgende Anderungen durchgef iihrt : 

- der Eintrag fiir den Standardweg fiir diesen Benutzer zu dem 
ersten Vermittlungsdienst (ISPA) wird geloscht, 

- die Firewall-Regeln, welche den Datenpaketen den Weg zu dem 
ersten Vermittlungsdienst (ISPA) erlauben, werden geloscht, 

- wenn Methoden von NAT auf die Quell-Adresse (IP) fiir den 
Benutzer zu dem ersten Vermittlungsdienst (ISPA) angewendet 
wurden, so werden diese Regeln ebenfalls geloscht. (NAT ist 
notwendig bei einer Kette von quellenbezogenen Weiterlei- 
tungen. Es wird meist nicht benutzt, wenn Tunneling 
verwendet wird.) 

- neue NAT Regeln fiir den zweiten Vermittlungsdienst (ISPB) 
werden eingetragen, falls benotigt, 

- neue Firewall-Regeln werden eingetragen, um den Datenpake- 
ten den Weg zu dem. zweiten Vermittlungsdienst (ISPB) zu er- 
lauben, und 
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- ein neuer Standardweg wird eingetragen, fur Datenpakete von 
der Benutzeradresse zu dem zweiten Vermittlungsdienst 
(ISPB) . 

Danach kann er mit dem Kopieren des Dokuments beginnen. 

Wahrend des Kopierens mochte der Benutzer auf einen weiteren 
Informationsdienst (Corp) zuruckgreif en, zum Beispiel auf 
sein f irmeninternes Netz (8), um dort seinen elektronischen 
Brief kasten zu uberprufen. 

Dieses ist wahrend der Kopierphase problemlos moglich, sobald 
die Ubertragung beendet ist, kann der Benutzer auch die Ver- 
bindung uber den Vermittlungsdienst (ISPB) beenden, wahrend 
die Verbindung zu dem Firmennetz (Corp) weiterhin besteht. 

Nachdem die Verbindung vom Benutzer aus gelost wurde, werden 
die Aktivierungen der Vermittlungsdienste geloscht und alle 
Regeln vom Netzelement und/oder der Routing Engine entfernt 
(d, h. die Aktivierungen der einzelnen Vermittlungsdienste 
aus seiner Datenbank) . 

Nach jeder Beendigung eines Dienstes und nach TU^bau aller 
Verbindungen werden gesammelte Inf ormationen uber Vergebuh- 
rung an ein Vergebuhrungszentriom (AAA) ubertragen (9) . 

Figur 4 zeigt einen beispielhaf ten Aufbau eines Netzes von 
Netzen in welchem der Benutzer (Dialin User) Datenpakete aus- 
tauschen kann uber verschiedene Wege und Vermittlungsdienste 
mit einem zweiten Kommunikationsnetz (Internet) . 
Der Benutzer kommuniziert in diesem Beispiel uber das Tele- 
fonnetz (PSTN), mit welchem er z. B. uber ein Modem mit dem 
PC verbunden wird. Der 

Das Netzelement kann auch als virtueller PoP (Point of 
Presence, Zugangspunkt zu einem Netz) verwendet werden. Von 
dem Telefonnetz aus werden die gesendeten Datenpakete zu dem 
nachstgelegenen Netzelement (Service Gateway und/oder Routing 
Engine) weitergeleitet werden. Dabei gibt es verschiedene 
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Moglichkeiten, etwa uber RAS (Remote Access Service) Server, 
die es von den verschiedensten Herstellern gibt, wie 3Com, . 
Cisco Oder Ascend. Von dort aus weiter (z, B. iiber Ethernet 
Oder andere Ubertragungsprotokolle) werden die Datenpakete zu 
5 dem Netzelement (SGI oder SG2) geleitet, welches mit Hilfe 
der Informationen wie des Benutzerprof ils (SSM, Service Se- 
lection Module, PRM, Proxy Radius Module) einen Weg zu einem 
Obergabepunkt ermittelt. Dieser Weg kann wie in diesem Bei- 
spiel liber ein paketorientiertes Netz wie ein IP-Backbone 
10 Netz gehen, Dabei werden die Datenpakete mittels PVC, SVC 
Technik oder auch Tunnelling weitergeleitet . 

I 

1st die Zieladresse ein Inf ormationsdienst oder auch ein Fir- 
mennetz (CP, Content Provider) , so kann das Datenpaket direkt 
15 liber einen geeigneten Router (R) dorthin geleitet werden. 

Soil ein Vermittlungsdienst (ISP) in Anspruch genommen wer- 
den, so wird das Datenpaket an ein weiteres Netzelement oder 
eine Router libergeben (SG3, SG4) . Die Ermittlung des weiteren 

20 Weges wird von einem Router Module (RM) in dem Netzelement 
tibernommen. Der Austausch von Authentif izierungs-, Abrech- 
nungs- und Authorisierungsdaten (etwa mit den Authentif izie- 
rungsservern der Vermittlungsdienste (ISP x Radius, Authenti- 
^ cation and Accounting) . 

25 

Uber die Vermittlungsdienste (ISP I, ISP II, IPS III) ist 
dann ein Zugang zu einem weiteren Netz, wie dem Internet mog- 
lich, die Datenpakete konnen weitergeleitet werden. 
Die Vergebuhrung sowie das Sammeln weiterer Informationen, 
30 wie Statistikdaten, konnen dabei zu den Vermittlungsdiensten 
zugehorige Radius Server iibernehmen, 

Auch unabhangige Radius Server (Radius) konnen am IP-Backbone 
hangen, sie iibernehmen zum Beispiel die Authentif izierung und 
35 Vergebuhrung bei Zugriffen auf Inf ormationsdienste (CP) , wel- 
che nicht Uber Vermittlungsdienste (ISP) geleitet werden. 
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Weiterhin kann ein Net zmanagement (TMN) vorgesehen sein. Die- 
ses kann von den Netzbetreibergesellschaf ten durchgef uhrt 
werden . 

Dabei konnen Verbindungen verwaltet und uberwacht werden, 
wenn sie auf Informations- und Vermittlungsdienste itiit ihren 
spezifischen Benutzerprof ilen zugreifen. 

Die vorhandenen speziellen Netzelemente (Service Gateways) 
benotigen verschiedene Inf ormationen, welche gemeinsam konfi- 
guriert werden sollten, urn Inkonsistenzen zu vermeiden, Je 
nach Umfang des Netzes und Anzahl der speziellen Netzelemente 
(Service Gateways) ware der Konf igurierungsauf wand dann sehr 
hoch- 

Weitere Inf ormationen werden z. B. benotigt iiber 

- Adressen von Tunneling Devices zu den Diensten 

- Adressen der Gateways zu dem Backbone 

- Adressen von RAS Servern 

- Adressen von Netz Management Systemen und System Management 
Systemen, urn Benutzer-, Geblihren- und System-Status-Inf or- 
mationen 

- Informationen, die uber SNMP gesendet werden sollen 

- Inf ormationen, die uber Routing Protokolle gesendet werden 
sollen 

- Sicherheitsregeln. 

Zusatzlich werden Inf ormationen gesammelt uber die angebotene 
Dienste : 

- Adressraum der erreichbaren Server oder Netze 

- URL (uniform resource locator) Verbindungen (Links) zu dem 
Dienst 

- Hinweise tiber den Zustand des Dienstes bezuglich eines Be- 
nutzers, 

- DNS (Domain Name Service) Server 

- wird NAT verwendet, 
und vieles mehr. 
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Die meisten Inf ormationen sind auf alien speziellen Netzele- 
menten identisch, auBer Inf ormationen, die sich auf die spe- 
zifische Netzumgebung beziehen. 

Das Netzitianagement kann diese Inf ormationen zentral speichern 
5 und mit den ublichen Mechanismen andern. 

Zur Oberwachung des Systems und seiner Komponenten konnen 
auch Inf ormationen wie die Auslastung eines Netzknotens oder 
die Anzahl der Pakete, die von einem Router verarbeitet wer- 
den, mit SNMP (Simple Network Management Protocol) zu einem 
.10 Netzmanagement System wie HP OpenView, Ein Monitor kann zu- 
satzlich an einem eigens dafiir vorgesehenen Eingang ange- 
schlossen werden, vm so geartete Inf ormationen anzuzeigen. 

Die Figuren 5a und 5b zeigt ein Ablauf diagramm, welches die 
15 Aufrufe zeigt, die zwischen einem Benutzer (user) und den 
Netzelementen . 

Der Benutzer wahlt sich uber das Telefonnetz (PSTN, ISDN) bei 
einem Network Address Translation Server (NAS) ein. Er sendet 
20 seine Benutzerkennung (login Id) und ein Passwort. 

Soil nur ein kostenfreier Dienst benutzt werden, kann auch 
eine anonyme Benutzerkennung gewahlt werden, ohne Passwort, 

J Der NAS Dienst sendet eine Zugrif f sauf f orderung (Access Re- 
25 quest) , mittels dem Protokoll RADIUS, zu einem speziellen 

Server (AAA) , welche die ^login Id' , das Passwort und eine 

Caller ID enthalt. 

Der AAA Server fragt seinerseits in einem User Management Sy- 
30 stem (UMS) , welches Benutzerinf ormationen gespeichert hat, 

nach (query) , urn die Identitat des Benutzers zu verif izieren , 
Bei erf olgreicher Abfrage bekommt er ein Benutzerprof il 
(Berechtigungs-Prof ile) zuriickgelief ert . Ansonsten wird der 
AAA Server uber den Fehlschlag informiert. 

35 
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1st die Authentif izierung erfolgreich, meldet das der AAA 
Server an den NAS Server (Access Accept) zusammen mit dem aus 
der Datenbank ermittelten Berechtigungs- oder auch Authenti- 
sierungsprof il, welches auch die Netzadressen (IP-Adresse) 
5 enthalten kann, die er zugeteilt bekoinmt ( transparenter 
user) . 

1st die Authentif izierung nicht erfolgreich, wird dies ebenso 
gemeldet (Access Reject) , 

10 Nach der erf olgreichen Authentif izierung meldet der NAS Ser- 
ver einige weitere Inf ormationen mittels {Acct Start Request) 
an den AAA Server, wie Adresse, Caller ID, Session ID, wel- 
ches den Beginn der Auf zeichnungen von Inf ormationen signali- 
siert, die auch zur Vergebiihrung benutzt werden, 

15 

Der AAA Server informiert gleichzeitig mit diesen, den Benut- 
zer identif izierenden Inf ormationen das spezielle Netzelement 
(SG) (Notification) . Der AAA Server sendet eine Bestatigung 
an den NAS Server ( Acct-Start-AcJc) . 



Das spezielle Netzelement (SG) speichert die Angaben uber 
Dienste und Benutzer, die im Benutzerprof il zuruckgelief ert 
wurden (Dienste-Prof ile) . Diese Liste kann auch weitere 

25 Adressenangaben fur die zukiinftige Verarbeitung enthalten. 
Mit Hilfe dieser Angaben werden die Regeln fur Wegewahl 
(Routing) in geeigneter Weise in dem speziellen Netzelement 
abgeandert. Damit wird fur den Benutzer der Zugriff auf die 
gewunschten Dienste ermoglicht (also angemeldet oder akti- 

30 viert) . 



Die Aktivierung von Diensten kann durchgefuhrt werden 

- wahrend des Einwahlens, wenn die ersten Datenpakete des Be- 

nutzers eintreffen, oder 
35 - wenn der Benutzer eine Aktion durchftihrt (aktivieren oder 

deaktivieren eines Dienstes) oder 
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- nach dem Zugriff auf eine spezielle Adresse oder Seite 
( 'Hit' ) . 

Dabei werden jeweils Acct-5tart-Requests gesendet, sowie 
Stop-Ack . Die Anderungen werden jeweils im UMS Server bzw in 
5 der Datenbank (DB) gespeichert. 

Damit ist eine Verbindung aufgebaut zum Benutzer, der nun Zu- 
griff hat auf das spezielle Netzelement , dessen Daten und die 
aktivierten und aktivierbaren Dienste (Connect) . 

. 10 

. N Sind fur diese Dienste weitere Inf ormationen oder Authenti- 

sierungen notwendig, so werden diese jetzt durchgefiihrt 
- (Additional Authentif ication, Figur 5b) . 

15 Der Benutzer kann auch iiber das spezielle Netzelement auf 

Dienste zugreifen. Diese konnen ihm zum Beispiel mittels ei- 
ner http-Webseite von dem Netzelement angeboten werden, so 
dali er nur den entsprechenden Link auf dieser Seite anwahlen 
mui3 (Additional Action) . Dabei konnen weitere Regeln aus sei- 

2 0 nem Benutzerprof il verwendet werden. 

Ist dies erforderlich, wird nun eine Verbindung zu einem 
Netz, hier dem Internet, liber einen geeigneten Vermittlungs- 
dienst eroffnet bzw. erlaubt. 

Die Datenpakete werden anhand der Regeln fur die Wegewahl zu 
25 ihrem Ziel gesendet. Dabei konnen von dem speziellen Dienst- 
element (SG) auch Auf zeichnungen dartiber gefuhrt werden uber 
die Benutzung von einzelnen Diensten. 

Soil wahrend der Verbindung zu einem zweiten Vermittlungs- 
30 dienst eine Verbindung aufgebaut werden, kann dies ebenfalls 
durch das Anwahlen des entsprechenden 'Links' auf der 
'Homepage' geschehen. Die Konf igurationen fur den ersten 
Dienst werden, wie oben beschrieben, entfernt, falls sich die 
Dienste gegenseitig ausschlielien, die fiir den neuen Dienst 
35 werden eingetragen, Mit Acct-Stop-Request und Acct-Start- 

Request konnen jedesmal beim Schliefien eines alten Dienstes 
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und Offnen eines neuen Dienstes die Auf zeichnungen angehalten 
bzw, neu gestartet werden. 

Sobald der Benutzer die Verbindung lost (Shutdown) , indent er 
5 z. B. sein Modem ausschaltet, warden die Eintrage wieder 
ruckgangig gemacht . 

Der NAS Server entdeckt den Verbindungsabbau und informiert 
den AAA Server (Acct-Stop-Request) . Dieser wiederum infor- 
miert das spezielle Netzelement (Notification) , welches dar- 

10 aufhin die entsprechenden Eintrage in seinen Tabellen loscht 
und die Benutzer- und Dienstprof ile in die Datenbank (DB) zu 
ruckschreibt, sofern sich etwas geandert hat. Urn die Auf- 
zeichnungen zu beenden, wird ein Acct-Stop-Request fur jeden 
aktiven Dienst ausgesendet und bestatigt {Acct-Stop-Ack) , 

15 Zuletzt erhalt der NAS Server ebenfalls eine Bestatigung. Der 
AAA Server beendet die Auf zeichnungen und schickt eine Besta- 
tigung zuruck {Acct-Stop-Ack) . 
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Abkurzungsverzeichnis 



A?^ Authenticating Accounting Access 

ATM Asyncronous Transfer Mode 

5 CP Content Provider 

DB Datenbank 

DNS Domain Name Service 

GRE Generic Routing Encapsulation 

HTML hypertext markup language 

10 http hypertext transfer protocol 

\ IF Interface 

IP Internet Protocol 

ISP Internet Service Provider 

L2TP Layer 2 Tunneling Protocol 

15 NAS Network Access Service 

NAT Network Address Translator 

NMS Network Management System 

POP Point of Presence 

PPP Point-to-Point Protocol 

20 PPTP Point to Point tunneling Protocol 

PRM Proxy Radius Module 

PSTN Public Switched Telephone Network 

PVC Permanent Virtual Circuit 

^ RADIUS Remote Authentif ication Dial-In User Service 

25 RAS Remote Access Service 

RM Router Module 

SG Service Gateway 

SLIP Serial Line Internet Protocol 

SMS System Management Server 

30 SNMP Simple Network Management Protocol 

SSM Service Selection Module 

SVC Switched Virtual Circuit 

TMN Telecommunication Management Network 

UMS User Management System 

35 VPoP Virtual Point of Presence 

WWW World Wide Web 
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Patentanspriiche 

1. Verfahren zur Verkehrswegebestimmung in einem Kommunika- 
tions- Oder Datennetz oder einem Netz aus Koinmunikations- 
und Datennetzen, 

bei deiu Datenpakete von einem Netzknoten (SG) im Netz 
empfangen werden, und 

anhand von im Datenpaket enthaltenen ersten Inf ormationen 
und 

durch Zuordnung von diesen ersten Inf ormationen zu zwei- 
ten Informationen, die dem Netzknoten (SG) weiterhin zur 
Verfugung stehen (DB) 

fur jedes Datenpaket von dem Netzknoten (SG) einzeln ein 
Weg durch das Netz/die Netze bestimmt wird, bei dem zu- 
mindest einer der auf dem Weg durchlauf enen Netzknoten 
auf diesem Weg festgelegt wird, und 

das Datenpaket an den nachten Netzknoten auf einem ermit- 
telten Weg zur Zieladresse weitergeleitet wird. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet , daii 

der ermittelte Weg des Datenpakets von dem Netzknoten . 
(SG) zu dem festgelegten Knoten (A - F) eindeutig festge- 
legt wird. 

3. Verfahren nach einem der vorherigen Anspruche, 
dadurch gekennzeichnet , daJi 

aus den in dem Datenpaket enthaltenen Informationen min- 
destens eine der folgenden Angaben ermittelt werden kann: 

- Benutzer (Quelladresse) , 

- Zieladresse, 

- Dienstanbieter (Ubergabepunkt) , 

- Qualitat, 

- Kosten, 

- Sicherheit 

der gewunschten Obertragung . 
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4. Verfahren nach eineiti der vorherigen Anspriiche, 
dadurch gekennzeichnet, dali 

die im Datenpaket enthaltene Zieladresse falsch oder un- 
bekannt ist, und 

das Datenpaket zu einer speziellen Instanz im Netz gesen- 
det und dort bearbeitet wird, 

5. Verfahren nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet, dafi 

die auf ein in diesem Netz (von der Quelladresse zur Zie- 
ladresse) uberiuittelten Datenpakete abgesendeten Ant- 
wortpakete von der Zieladresse an die Quelladresse der 
gleiche festgelegte Knoten (Obergabepunkt ) durchlaufen 
wird, 

6. Verfahren nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet, dali 

im Datenpaket auf dem Weg von der Quelladresse zur Ziela- 
dresse von dem Netzknoten (SG) die Quelladresse geandert 
wird. 

7. Verfahren nach Anspruch 6, 
dadurch gekennzeichnet, dafi 

in einem Antwortpaket auf ein urspriingliches Datenpaket 
auf dem Weg von der Quelladresse {= urspriingliche Ziela- 
dresse) zur Zieladresse (= geanderte Quelladresse) von 
dem Netzknoten die korrekte Zieladresse eingetragen wird, 
also die urspriingliche Anderung der Quelladresse wieder 
riickgangig gemacht wird . 

8. Verfahren nach Anspruch 5, 6 oder 7, 
dadurch gekennzeichnet, dali 

auf die Datenpakete eine Methode von Network Address 
Translation (NAT) angewendet wird. 
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Verfahren nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet , dafi 

sich Zieladressen in einem zweiten Kommunikationsnet z 
(Nb) befinden, welches uber einen oder mehrere Zugangs- 
punkte erreichbar ist, wobei 

jeweils nur einer dieser Zugangspunkte zu einem Zeitpunkt 
verwendet werden darf . 

Verfahren nach einem der vorherigen Ansprliche/ 
dadurch gekennzeichnet, dafl 

die Zieladresse ein Inf ormationsdienst (CP) ist, bei dem 
sich ein Benutzer angemeldet haben muli, bevor er diesen 
verwenden kann, und 

dali er jeweils mehrere dieser Inf ormationsdienste zu ei- 
nem Zeitpunkt verwenden darf. 

Verfahren nach einem der vorherigen Anspruche, 
dadurch gekennzeichnet, daii 

die tibertragenen Datenpakete verschliisselt sind. 

Verfahren nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet, daii 

zu einer Quelladresse in einem zentralen Datenbestand 
(DB) TVngaben existieren, welche einen Grundzustand in Be- 
zug auf die Benutzungsberechtigung von im Netz vorhande- 
nen Diensten beinhalten. 

Verfahren nach einem der vorherigen JVnsprliche, 
dadurch gekennzeichnet, daii 

ein Benutzer nicht berechtigt ist, einen im Netz vorhan- 
denen Dienst (CP, ISP) zu benutzen und 

beim Senden eines Datenpakets des nicht-berechtigten Be- 
nutzers dieses Datenpaket an eine spezielle Instanz im 
Netz gesendet wird, welche eine geeignete Fehlermeldung 
generiert . 
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14. Verfahren nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet , dalJ 

ein Benutzer nicht berechtigt ist, einen im Netz vorhan- 
denen Dienst (CP, ISP) zu benutzen und 

beim Senden eines Datenpakets des nicht-berechtigten Be- 
nutzers eine geeignete Fehlermeldung generiert und an den 
Benutzer zuruck gesendet wird. 

15. Verfahren nach einem der vorherigen Tlnspruche, 
dadurch gekennzeichnet , daB 

ein Benutzer berechtigt ist, einen im Netz vorhandenen 
Dienst zu benutzen, und 

bei diesem Dienst jedoch nicht registriert ist, und 
Senden eines Datenpakets des nicht-registrierten Be- 
nutzers dieses Datenpaket an eine spezielle Instanz im 
Netz gesendet wird, welche eine geeignete Fehlermeldung 
generiert . 

16. Verfahren nach einem der vorherigen Anspruche, 
dadurch gekennzeichnet , daii 

aufgrund der bei der Verkehrswegewahl im Netzknoten (SG) 
gesammelten Inf ormationen eine Vergebuhrung des Benutzers 
durchgefuhrt werden kann, aufgrund mindestens eines der 
folgenden Kriterien: 

- Zeit 

- Voliomen 

- Anzahl der Zugriffe 

- verwendete Dienste 

- Art der Datenpakete 

- Obertragungsqualitat . 

17. Verfahren nach einem der vorherigen Anspruche, 
dadurch gekennzeichnet, dali 

aufgrund der bei der Verkehrswegewahl im Netzknoten (SG) 
gesammelten Inf ormationen eine Vergebuhrung des Dienste- 
anbieters durchgefuhrt werden kann, aufgrund mindestens 
eines der folgenden Kriterien: 
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- Zeit, 

- Volxomen 

- Anzahl der Zugriffe 

- verwendete Dienste 
5 - Art der Datenpakete 

- Obertragungsqualitat . 



18. Vorrichtung zur Verkehrswegebestimmung in einem Koinniuni- 
kations- und/oder Datennetz oder in einem Netz aus Kommu- 
10 nikations- und/oder Datennetzen (SG) , 

- mit Mitteln (RE) ziom Empfangen, Verarbeiten und Wei-ter- 
leiten von Datenpaketen (IP) , und 

- mit Mitteln zur Speicherung von Zusatzinf ormationen 
uber Benutzer und/oder vorhandene Dienste in den Netzen 

15 (UMS), und 

- mit Mitteln zur Speicherung von Verwaltungsinf ormatio- 
nen (Service Management Module), und 

- mit Mitteln zur Ermittlung der Abbildung logischer 
Rechnernamen in Netzadressen und umgekehrt (DNS Proxy 

20 Server) , und 

- mit Mitteln zum Treffen einer Verkehrswegebestimmung 
fur jedes einzelne Datenpaket (IP), anhand der aus dem 
Datenpaket ermittelten Inf ormationen und den gespei- 
cherten Zusatzinf ormationen (Routing Information Modu- 

25 le) , 

wobei zumindest einer der auf dem Weg durchlauf enen 
Knoten auf diesem Weg festgelegt wird. 



19. Vorrichtung nach Anspruch 18, 
30 dadurch gekennzeichnet , dali 

ein eindeutiger Pfad zu dem Ubergabepunkt durch eine Vir- 
tuellen Verbindung realisiert wird. 
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20. Vorrichtung nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet , dali 

ein Zugriff moglich ist auf einen Server, der Authentifi- 
5 zierungsdaten und/oder Zugriff sdaten und/oder Vergebuh- 

rungsdaten (A7\A, SMS) enthalt, 

21. Vorrichtung nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet , daI5 

10 eine Schnittstelle (IF) existiert, iiber die die gespei- 

cherte Zusatzinf ormationen uber Benutzer und/oder vorhan- 
dene Dienste modifiziert werden kann (http) . 



22. Vorrichtung nach einem der vorherigen T^spriiche/ 
15 dadurch gekennzeichnet , daB 

dem Benutzer eine Hilf emoglichkeit angeboten wird, welche 
ihm beim Auftreten von Fehlern wahrend des Zugriffs auf 
einen Dienst in dem Netz eine Meldung mit Inf ormationen 
liber den auf getretenen Fehler zusendet (http Helpdesk) . 

20 

23. Vorrichtung nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet, dalJ 

die Hilf emoglichkeit beim Auftreten von Fehlern wahrend 
des Zugriffs auf einen Dienst einen Alternativdienst an- 
7|J||j25 bietet. 

r 

24. Vorrichtung nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet, daii 

die Zugangsmoglichkeit und/oder die Hilf emoglichkeit 
30 durch eine Benutzeroberf lache realisiert ist. 

25. Vorrichtung nach einem der vorherigen Anspriiche, 
dadurch gekennzeichnet , dafi 

die Kommunikation mit der Benutzeroberf lache mittels ei- 
35 nes geeigneten Protokoll geschieht (http) . 



GR 98 P 2862 



# 



34 

Zusammenf assung 

Die Erfindung betrifft ein Verfahren zur Verkehrswegebestim- 
mung, auch ^Routing' genannt, in paketorientierten Kommunika- 
5 tions- und Datennetzen . 

Ein Benutzer kann bisher zwischen verschiedenen Vermittlungs- 
diensten wahlen. Zu einem Zeitpunkt kann er nur einen Ver- 
mittlungsdienst in Anspruch nehitien, alle Datenpakete werden 
2U diesem Vermittlungsdienst geschickt, der diese dann weiter 
10 verteilt. 

Bei dem erf indungsgemaBen Verfahren der Verkehrswegebestim- 
mung (im Folgenden auch Routing genannt) werden alle Datenpa- 
kete im Netz durch einen ausgewahlten Netzknoten analysiert 

15 und der Pfad der Pakete zur Zieladresse entsprechend der Vor- 
gaben manipuliert . Dabei werden zum ersten Inf oritiationen ver- 
wendet, die im Datenpaket enthalten sind (durch den Benutzer, 
welcher auch ein Programiti sein kann) . Weiterhin werden zweite 
Inf ormationen zum Routing verwendet, welche dem Netzknoten 

2 0 zur Verfugung stehen, entweder in einer eigenen Datenbank 
Oder auch in mehreren Tabellen, die auch verteilt im Netz 
existieren konnen, fiir ihn abrufbar. 

Es wird ein fur die Anf orderungen geeigneter Transf erknoten 
(z. B. Vermittlungsdienst) ermittelt. 

25 



Figur 2 
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